Il mio provider di posta elettronica supporta ancora le vecchie percentuali di SSL_RSA_WITH_RC4_128_SHA . Che cosa significa questo per me?
Se utilizzo un sistema aggiornato (Ubuntu 16.04) e un client aggiornato (Thunderbird 52), non dovrei usare questo codice?
Ma quando c'è qualcuno con un vecchio sistema, sarebbe comunque in grado di connettersi al server e non verrebbe rifiutato e inviare le sue credenziali e il contenuto con una cattiva crittografia. È questo il problema unico?
Stai parlando della connessione tra MTA e MUA? In questo caso, il possibile attacco potrebbe essere il downgrade degli attacchi sul canale sicuro durante l'handshake. Ma come dici tu, a meno che tu non sia attivamente attaccato, l'OS / MUA dovrebbe negoziare con la suite di crittografia supportata più alta
Significa che se il tuo client supporta RC4, potrebbe finire per usarlo. O perché l'amministratore del server ha scelto di sovrascrivere la preferenza ciphersuite del client (ciò era comunemente fatto in risposta all'attacco "BEAST") o perché un utente malintenzionato è in qualche modo riuscito a ingannare il meccanismo di negoziazione (un "attacco di downgrade").
In generale i sistemi di posta elettronica dovrebbero essere considerati a bassa sicurezza. Anche se si conoscono le protezioni applicate alle connessioni client, di solito non si ha idea di cosa succederebbe se fossero applicate protezioni alle connessioni tra server e server e quale livello di assistenza gli operatori del server di posta stanno prendendo per impedire la compromissione dei dati a riposo. Se hai bisogno di inviare dati sensibili via email, dovresti utilizzare la crittografia end-to-end.